セキュリティあれこれ

セキュリティ関連のメモ

Amazon Inspector v2 を検証してみた

2021年11月末ごろに、Amazon Inspector v2 がリリースされたので検証した内容をまとめてみる。

良いところ

導入が楽になりました。
  • SSM エージェントがインストールされてれば利用可能(EC2 インスタンスに SSM 許可する IAM ロールは必要)
  • インスタンス起動時に SSM エージェントがインストールされているので導入工数がかなり少なくなった。
脆弱性を早期検出できるようになった。
  • 定期スキャンではなく、自動継続スキャンとなった。
  • AWS で新たな CVE が登録されたタイミングで脆弱性を検出できるようになった(模様)
ECR スキャンサポート
  • 自動継続スキャンができるようになった。

困りそうなところ

Findings のエクスポート方法がセキュアな反面手間となった
  • エクスポート先の S3 バケットと KMS Key を準備する必要がある。
  • エクスポート処理は並列処理できない
  • v1 は、AWS コンソールから、CSV ファイルを直接ダウンロードできた。
スキャンタイミングをコントールできない
  • 定期スキャンではなく、自動継続スキャンとなったのでスキャンタイミングをコントロールできない。
  • 負荷の高い時間帯はスキャンを避けるといった運用ができない。
  • ただし、Inspector の負荷自体は極小なので問題にはならなそう。
特定インスタンスをスキャン対象外にできない。
  • Inspector の設定で特定インスタンスをスキャン対象外にできない。
  • SSM エージェントの停止、IAM ロールなどでスキャン対象外にする必要がありそう。
ECR スキャン
  • レポジトリに不要なコンテナイメージがあってもスキャンします

その他試したこと

新たに EC2 インスタンスを起動したとき

自動的に Inspector の管理化となり脆弱性スキャンされる。 5分ほどで脆弱性も検出される。

脆弱性対応(yum update)したとき

yum update から、20分ほど経過すると、Findings ステータスが、Active から Closed に変更される。 また、Closed された Findings は、30日後に削除される模様。

Understanding findings in Amazon Inspector - Amazon Inspector

v1 は、定期スキャンだったので、yum update して本当に脆弱性が対応できたか確認するのに、手動スキャンもしくは、次回の定期スキャンまで確認できなかったので、即時確認できるのは良いですね。

インスタンス停止したとき

インスタンス終了から、10分ほど経過すると、Findings ステータスが、Active から Closed に変更される。 また、Closed された Findings は、30日後に削除される模様。

Understanding findings in Amazon Inspector - Amazon Inspector

インスタンス切り替えして、終了済みインスタンスの Findings が残存すると、不要な情報が蓄積されてしまうので、Closed ステータスになるのは良いですね。

今時点の Findings 一覧を確認する場合は、Active ステータスでフィルタすれば良さそうです。